Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat die Bewertung des „Arbeitskreises Verwaltung“ zur Auftragsverarbeitung bei Microsoft Office 365 mehrheitlich zustimmend zur Kenntnis genommen. Im Ergebnis ist danach derzeit kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich.
Der Arbeitskreis hatte die Office 365 zu Grunde liegenden „Online Service Terms“ (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA – Stand Januar 2020) geprüft. Die Entscheidung erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich u. a. die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist. Diese Datenschutzaufsichtsbehörden stellten klar, dass sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH (ZD 2020, ZD Jahr 2020 Seite 511 m. Anm. Moos/Rothkegel – Schrems II). Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts formuliert. Die Gesamtbewertung könnten sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfalle. Überdies habe der Arbeitskreis seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des EuGH zu den Anforderungen an internationale Datentransfers berücksichtigt werden.
Vor diesem Hintergrund haben die o. g. Datenschutzaufsichtsbehörden die Bewertung des Arbeitskreises v. 15.7.2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen. Das gelte umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen erfolgt ist, wie es zu einem fairen, rechtsstaatlichen Verfahren gehöre. Umso mehr begrüßten die fünf Datenschutzaufsichtsbehörden, dass die DSK einstimmig eine Arbeitsgruppe eingesetzt hat, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit Microsoft aufnehmen soll. In dem Dialog müssten die Maßstäbe zur Sprache kommen, die der EuGH zum Drittstaatentransfer beschlossen hat.